随着数字化发展深入推进,全球数据的生成、流动与价值实现规模急剧膨胀,数据跨境流动成为全球要素配置的关键领域。国际数据公司(IDC)于2025年发布的最新预测表明,全球数据生成量在2029年将达到527.47ZB。作为全球数字经济大国,中国围绕数据出境建立了“基础法律—配套规章—自贸区机制”的多层框架。在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的基础上,2024年出台的《促进和规范数据跨境流动规定》,对一般经营数据、外贸运输数据等明确了豁免与便利,并授权自贸试验区建立数据出境负面清单;2025年《网络数据安全管理条例》的实施,进一步细化合规路径与监管边界。上述制度显著降低了企业在数据跨境流动方面的合规治理不确定性,也为地方探索数据跨境流动监管机制提供了空间。
《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》明确提出,“推进数据高效便利安全跨境流动,营造透明稳定可预期的制度环境”。这一表述从国家战略层面进一步强调了数据跨境流动的制度化、规范化和国际化方向,不仅呼应了全球数字经济发展趋势,也为地方在自贸试验区等开放平台开展数据跨境制度创新提供了明确的政策指引。在国家战略引领下,江苏省“十五五”规划进一步将数据要素市场化与安全有序跨境流动确立为核心发展路径,其明确提出要“深化数据资源开发利用,建设国家数字经济创新发展试验区”,并“有序扩大数字领域开放,推进数据高效便利安全跨境流动,创新发展数字贸易”,这为江苏在数据跨境领域先行先试提供了明确的战略指引。聚焦江苏数据跨境流动的进展,厘清江苏数据跨境流动的主要实践与创新探索,评估江苏推进数据跨境流动的现实瓶颈,对推动江苏对接高标准经贸规则、推进数据跨境流动具有重要意义。
江苏地处长三角中心地区,经济发展水平高、产业体系完备、外向型特征显著,跨境经营与全球化研发对数据跨境处理与出境形成稳定需求。在国家制度框架下,自贸试验区“负面清单+公共服务平台”成为地方促进数据安全有序出境的关键抓手。江苏推进数据跨境流动具备坚实基础。
(一)数字产业基础雄厚
作为制造业大省与外向型经济重镇,江苏数字产业基础持续巩固、结构持续优化,具备开展数据跨境流动的广阔空间。国家数据局《数字中国发展报告(2024年)》显示,江苏数字产业收入规模位居全国第二(仅次于广东)。2024年江苏省国民经济和社会发展统计公报显示,2024年江苏数字经济核心产业增加值占GDP比重达11.8%,高新技术产业产值占规上工业比重达50.7%;规模以上互联网及相关服务业、软件和信息技术服务业分别增长15.9%、8.3%。根据《江苏省数字经济高质量发展三年行动计划(2025—2027年)》,江苏明确提出到2027年,数字经济核心产业增加值达1.8万亿元、数据要素市场体系基本建立,实现以“制度建设+要素市场”牵引产业升级与对外开放的发展目标。
(二)数据交易平台加快建设
江苏已建成若干大型数据交易平台,其一端紧密对接国家级数据交易枢纽(如贵阳大数据交易所、上海数据交易所、北京国际大数据交易所),另一端直接链接省内生产及服务型企业,有效带动了企业广泛参与数据要素流通。一方面,省级平台发挥引领作用。截至2025年10月,于2025年4月正式成立的江苏数据交易所已累计吸引入驻数商1984家,上架数据产品4344个,撮合成交75笔。另一方面,重点城市平台各具特色。截至2025年4月,南京数据交易平台已上架产品800款,并撮合成交200多笔,累计交易金额达到数千万元量级;截至2025年10月,无锡市数据产业公共服务示范平台累计吸引入驻数商已达536家,上架产品605种,累计成交金额突破4亿元。这些平台在“上架—撮合—合规服务”链条上的功能逐步完善,为合规跨境流转提供了可复制的市场化路径。
(三)数据跨境流动应用场景广阔
江苏在制造业数智化改造及跨境电商发展方面成效显著,为推进数据跨境流动提供了诸多市场应用场景。与此同时,伴随着传统贸易方式加快向数字贸易模式转变,跨境电商正成为数据跨境应用的高频场景。以雅迪为例,作为从江苏走向全球的电动两轮车企业,其出海历程典型地反映了利用数据驱动实现品牌升级的路径。雅迪集团通过亚马逊等线上渠道切入国外市场,2025年中期报告数据显示,2025年上半年,电动滑板车销售额超过38亿元,并携高性能电摩旗舰亮相米兰国际顶级展会,标志着其品牌已进入与国际一线品牌直接竞争的新阶段。凌越装备依托跨境电商平台的需求数据、营销与履约能力,能够快速响应海外市场并扩展至多国市场,目前,该公司95%以上订单来自跨境电商平台。2024年长三角跨境电商交易会在无锡举办,吸引20余家主流跨境平台、400余家优质工厂和超2万名专业采购商到场,现场形成订单、物流、支付与合规等跨境数据的高频交互场景,进一步验证并放大数据跨境流动的应用需求。
江苏围绕“制度创新、平台赋能、安全监管”三个核心,系统推进数据跨境流动实践。以分层推进和清单引导构建办理流程,以合规平台与基础设施提升传输质量,以立法确权与分级分类完善安全监管闭环,在医药、跨境电商等场景形成可复制路径。
(一)分层推进与清单引导,构建数据跨境流动流程闭环
江苏按“国家制度承接—省级法规配套—自贸区机制创新”分层推进,形成可执行的办理链条。第一步,场景识别与路径判定。在梳理业务场景与数据类型后,对照《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》实施“非禁即准”判定。清单内按数据类型选择国家数据出境安全评估、个人信息出境标准合同备案或个人信息保护认证;清单外可免申报(仍需内部控制与留痕)。江苏的突出做法是医药行业先行,清单细化21个数据子类,显著降低企业判定不确定性。第二步,风险自评与材料准备。依据《江苏省数据出境安全评估申报工作指引(第一版)》,完成风险自评(正当性、最小必要、再转移约束、接收方能力、退出与删除机制等)并据此准备材料;个人信息出境标准合同生效后10个工作日内办理备案。第三步,逐级审查。按国家规则推进“省级5个工作日完备性查验—国家7个工作日是否受理—原则上45个工作日完成评估(可依法延长)”,评估结论有效期2年,重大变更触发重评与变更备案。第四步,上线运行与持续合规。通过上线传输与控制措施,开展事中监测、事后审计、再转移管控与个人请求响应,建立到期复评与日常台账留痕机制。通过“指引—条例—清单”的组合发力,江苏企业数据跨境办理质效明显提升。
(二)平台赋能与基础设施协同,提升数据跨境传输质量与可达性
江苏在“合规服务平台—跨境传输—网络与算力底座”三条线上并进,提升数据出境的可预期性与可达性,保障数据传输的质量。其一,以一体化公共服务平台为关键支点,系统性降低企业合规成本与制度性门槛。江苏在国内率先探索平台化服务模式,于2024年初在中国(江苏)自由贸易试验区苏州片区上线全省首个数据跨境流动公共服务平台“苏数通”,并于2025年10月升格为省级数据产业公共服务平台。该平台创新实现全流程线上办理,截至2025年10月,累计提供专业咨询超600次,成功助力6家企业通过数据出境安全评估,完成47笔个人信息标准合同备案,相关案例占比均达全省总量的近三分之一,形成了高效、可复制的“苏州路径”。[6]作为江苏省内第二家同类平台,中国(江苏)自由贸易试验区南京片区的“金陵数贸通”围绕生物医药、跨境电商等高频场景,形成了从需求发现、规则适配到服务响应的闭环,切实缩短了企业材料准备周期。两大平台南北呼应,共同将原本复杂、专业的合规过程转化为稳定、可预期的公共服务。其二,以高标准国际数据通道为传输动脉,战略性保障跨境链路的直达性与稳定性。在物理网络层面,江苏持续扩容升级国际互联网数据专用通道这一关键基础设施。《中国互联网发展报告2022》数据显示,截至2022年底,江苏已建成8条国际互联网数据专用通道,为跨境访问质量与稳定性提供了坚实支撑。在此基础上,2025年7月,《江苏省创新提升数字贸易推动服务贸易高质量发展的若干措施》指出,要“开通国际互联网数据专用通道”,以加强数字贸易基础设施建设。其三,以领先的新型算力基础设施为处理基座,工程化赋能数据合规计算与高效跨境处理。江苏前瞻性布局“数据—网络—算力”融合底座,截至2025年10月,全省已建成开通具备5G-A能力的基站3.9万座,千兆光纤用户规模突破2000万户、位居全国首位,投用总算力规模达85EFLOPS,其中智能算力占比超过74%,并基本建成“城域1毫秒、省内3毫秒”的极致算力时延圈。[7]这一领先的数字基础设施体系,不仅为海量数据的境内处理与价值挖掘提供了强大引擎,更通过超低时延的网络与充裕的智能算力,为数据出境的实时合规审计、模型训练、隐私计算等复杂场景提供了坚实的工程化能力保障,确保数据跨境流动既能“通得快”,也能“算得好”“管得住”。
(三)立法确权与分级分类,健全数据跨境流动安全监管体系
江苏以立法确权和分级分类为抓手、以预评估与清单化机制提速提质,并叠加可信数据空间与数据沙箱等技术手段,构建起“制度—流程—技术”一体化的跨境数据安全治理体系。其一,以地方立法确权职责,落实“全流程安全”,把治理责任链拉直。《江苏省数据条例》第六十一条确立政府、企业、社会多方协同的数据安全治理模式,要求将安全贯穿供给、流通、使用等全过程,并强化技术支撑,为跨境场景提供制度性“顶层约束+工具导向”。其二,以分级分类与“重要数据”口径为抓手,降低企业识别与报送的不确定性。《江苏省数据出境安全评估申报工作指引(第一版)》在无行业标准时提供可参考口径并要求主管部门按规定制定目录,直接回应企业“不会判、难举证”的痛点。其三,以“可信数据空间+数据沙箱”等技术型治理工具,增强可监测、可追溯、可审计能力。南京于2024年明确探索“数据沙箱”的容错纠错与应急机制,为高风险跨境试点提供受控验证环境。江苏于2025年印发可信数据空间发展工作方案,提出在有条件的自贸片区探索跨境可信数据空间,提升跨境传递监控、存证备案、出境管控等能力。目前,江苏已初步形成“制度—流程—技术”一体化的安全治理框架,风险可控、路径可审计、证据可留痕,并与分层推进的办理模式相衔接,支撑重点行业数据合规跨境流动。
尽管江苏在数据跨境流动管理方面取得了显著进展,但仍面临一系列挑战,包括国际规则对接复杂性、跨境流动保障薄弱、中小企业合规能力不足等。
(一)规则对接路径不明,国际互认难度较大
在规则对接方面,中国的数据保护评估机制仍以政府主导为主,缺乏类似新加坡数据保护信任标志(DPTM)的第三方认证体系。目前,中国尚无相应的企业级信任标志体系,这可能造成与《数字经济伙伴关系协定》(以下简称DEPA)等国际协定之间监管结果互认的障碍。同时,国内已有广东通过建立对接《区域全面经济伙伴关系协定》(以下简称RCEP)新规则、新标准的交流机制,举办RCEP跨境电商交流会与“粤贸全球”系列展等活动,开展数据跨境传输安全管理试点,率先探索数字贸易新模式与国际数据合作治理新规则。江苏在引领自贸试验区创新发展、对接RCEP成员国市场标准以及推动数字证书与电子签名的国际互认等与数据跨境流动密切相关的环节,仍需进一步创新与突破。在电子发票方面,上海已建设跨境电子发票互操作平台,并接入欧盟泛欧在线公共采购平台(PEPPOL)网络,实现多国发票标准互换和实时传输。该平台支持中国、欧盟、联合国等多种发票格式转换,可直接将中国企业开具的电子发票传送至新加坡等地使用。相比之下,江苏在跨境电子发票领域仅处于规划或试点阶段,尚未形成成熟的跨境传输机制。在重要数据方面,中国现行法规尚未明确统一标准,《中华人民共和国数据安全法》授权各地区和行业制定重要数据目录,继北京、上海、浙江等自贸区相继发布结合本地产业特色的负面清单之后,江苏也于2025年8月正式印发并实施《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》,显著提高了自由贸易试验区内企业出境合规的可预期性。然而,当前适用范围仅限自由贸易试验区内,属于国家新规授权下的地方试点,清单需经省级网信委批准并报国家网信部门、国家数据部门备案后实施,自由贸易试验区外主体并不适用。同时,各地自由贸易试验区的清单覆盖行业与门槛设置并不完全一致,企业在多地经营时面临口径差异与选择成本,跨区互认的操作性仍待明确。
(二)技术支撑体系不全,跨境流动保障薄弱
上海数据交易所在自贸区基础上率先设立“国际专区”,聚焦跨境数据交易与流通,形成了覆盖专利分析、生物医药研发、金融风险控制等多领域的规模化数据产品矩阵,其平台功能已进阶至数据要素的国际化配置与交易阶段。相较而言,江苏的实践目前仍侧重于为企业数据出境扫清合规障碍、构建服务基础。中国(江苏)自由贸易试验区苏州片区和南京片区虽已推出“苏数通”“金陵数贸通”等平台,提供安全评估、标准合同备案等一站式服务,且“苏数通”已于2025年10月升格为省级平台,但平台功能主要定位于合规服务,与上海聚焦交易流通的市场化、国际化定位存在差异。在隐私计算方面,业内普遍认为隐私计算是未来跨境数据流通的关键技术,深圳在深港跨境数据通道建设中已引入区块链和隐私计算等前沿技术,进入技术标准化和跨境规则试点阶段,加速向全球数据要素流通枢纽迈进。深圳前海的深港数据验证平台和安全通道,在跨境金融、教育、医疗等场景已取得应用突破,有效保障了数据隐私并大幅提速数据传输。相比之下,江苏的隐私计算应用主要局限于医疗、金融等本地场景试点,尚未形成针对跨境流动的系统化部署,缺乏推动整体开放的驱动力。
(三)企业合规能力不足,制度落地推进受阻
多数企业对《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》理解存在偏差,对风险识别意识薄弱,且合规成本高、专业人才缺乏,主动合规意愿不强。一些企业对是否需要开展数据出境安全评估认识不清,尤其是传统制造业和中小科技企业更为普遍。在制度支撑方面,江苏省内外政策和标准不统一导致落地困难。长三角地区虽积极推进标准统一,但江苏各地数据跨境监测系统尚未完全互联互通,造成监管重复和碎片化。当前,中国需要同时满足《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等国内规定与欧盟《通用数据保护条例》(以下简称GDPR)、美国《澄清境外合法使用数据法案》(以下简称CLOUDAct)等国际法律要求。《中华人民共和国数据安全法》规定,未经批准不得向外国司法或执法机关提供在境内存储的任何数据,而美国CLOUDAct则授权美国法院以传票要求美国企业交付其控制的全球数据,这两者在跨境数据访问上形成直接冲突。综上所述,江苏虽已在数据跨境领域进行诸多创新探索,但与GDPR、CLOUDAct等国际规则的衔接仍有较大空间。
未来,江苏要对接高标准经贸规则,推动制度型开放升级、加强要素分级分类治理、完善协同机制和强化企业赋能,推进数据跨境流动。
(一)完善跨境规则对接体系,打通制度互认堵点
目前,《中国(江苏)自由贸易试验区数据出境管理清单(负面清单)(2025版)》首批聚焦医药场景,明确不同数据类型的合规路径。要在自由贸易试验区数据出境管理负面清单基础上,制定省级分行业的“负面清单+白名单”并建立年度滚动评估机制,与“金陵数贸通”“苏数通”联动发布常态化政策说明书与操作手册。围绕中国DEPA入约进程,先在自由贸易试验区场景内开展与新加坡资讯通信媒体发展局(IMDA)认可体系的对接试验,逐步形成合同、审计要素映射表与跨境申报模板。依托南京国际商事法庭与仲裁中心,完善“诉调仲一体化”跨境争议解决流程,并与数据港平台打通证据固化、区块链存证接口。
(二)完善分级分类清单体系,提升智能监管效能
当前,中国(江苏)自由贸易试验区南京片区“金陵数贸通”平台已经上线运营,提供出境评估、标准合同备案等服务。要进一步建立“专家委员会(规则)+模型评估(技术)”双轨机制,形成重要数据判定规则库与案例库,每季度滚动更新“常见问题解答(FAQ)”。将“金陵数贸通”“苏数通”升级为“智能合规中台”,感知层对接企业数据目录、分析层完成字段敏感度和再识别风险评估,决策层输出合规路径建议和证据清单。把远程度量、运行环境证明和日志留痕、密钥托管等数据在用保护要素纳入评估表单,参考深圳地方标准的分级与合规条款设计“场景化评估表”。
(三)布局专用通道与算力底座,锻造在用数据保护能力
当前,苏州国际数据港正在推进数据跨境服务中心、交易专区等载体建设,用好“苏数通”与“服贸通”专线,探索建设离岸数据中心和数据加工区。要在医疗、车联网、工业设计三类高频场景建立“业务—通道—合规”映射表,医药场景可借鉴深港医疗数据通道的“专用通道+安检站+综合服务中心”三位一体架构。在中国(江苏)自由贸易试验区试点“隐私计算强制认证”,参照深圳标准制定技术细则。联合南京大学等高校,研发轻量化联邦学习框架,降低算力门槛。在自由贸易试验区内设立医疗、工业互联网、跨境电商数据跨境监管沙箱,明确边界条件、退出机制、不可减损的法定义务,并将指标纳入季度评估。以“网联”的渗透力、链接力加速制造业“智改数转”步伐,强化数字化转型服务供给,加快推动人工智能创新应用形成先导优势,加快夯实数据、算力、人才、场景、市场等重要基础,增强关键核心技术与产品创新能力,打造“智改数转网联”新型工业化示范标杆。
(四)健全政企社协同网络,织密全链条合规服务
当前,上海数据交易所国际专区的场景化规则供给与国际合作,为企业提供了可复用的模板与工具。要形成头部牵引机制,对跨境业务大、数据要素使用密集的生物医药、智能制造龙头企业,设首席数据官(CDO),将合规达标率、跨境项目通过率纳入经营考核。设立省级数据跨境服务引导资金,采购“合规中台+标准合同+模板化隐私增强计算技术”打包服务,降低中小企业单体合规成本。开发场景化模拟工具,支持GDPR等规则情境推演,健全成本分担体系。对中小企业加密改造给予补贴,推广“焦点科技”低成本合规模式,推动长三角地区负面清单互认,便于企业自查自律。推动负面清单、白名单互认试点与标准要素对接,减少重复评估与材料迁移成本。
